Popular:
Virtualization DNS security formal verification reachability analysis compiler errors macro conflict web extension development framework Bitmap Graphics API inconsistencies All Tags

تزوير مفاتيح المرور: استغلال سطح هجوم FIDO2/WebAuthn

2025-06-24

تتناول هذه المقالة بالتفصيل أمن مفاتيح المرور FIDO2. قام الكاتب بإجراء هندسة عكسية لمفاتيح الأجهزة التجارية ومصادقي الهوية على المنصة، وقام ببناء مُصادِق يعمل فقط على البرمجيات يُقلد جهاز FIDO2 بدون برامج تشغيل kernel. سمح هذا بتزوير وإعادة تشغيل توقيعات مفاتيح المرور لتسجيل الدخول بدون رأس. تتضمن العملية المفصلة التقاط حركة مرور العالم الحقيقي، وفك تشفير مصافحات HID، والتحقق من بيانات التصديق، وبناء محرك برنامج CTAP2، واستغلال مُصادِق الهوية الظاهري المدمج في Chrome. قام الكاتب بتسجيل الدخول بنجاح دون مفتاح أمان حقيقي، مما يبرز نقاط الضعف ويقترح إجراءات للتخفيف مثل إنفاذ عداد التوقيع الإلزامي، وقصر أذونات CDP، والتحقق من جانب relying party لتحسين أمن مفاتيح المرور.

(www.nullpt.rs)
التكنولوجيا أمن مفاتيح المرور